問題描述

當您將本地數據中心IDC（Internet Data Center）通過云企業網接入阿里云時，因物理專線的接入設備支持的功能不同，部分阿里云側物理專線接入設備上的VBR加載到云企業網后無法向客戶數據中心IDC通過BGP傳遞原始AS-PATH。

上述行為導致BGP路由環路造成路由震蕩風險的場景為：當有兩條物理專線將IDC接入阿里云時，VBR1或VPNGW（IPsec連接綁定了VPN網關實例）通過邊界路由協議BGP（Border Gateway Protocol）學習到的IDC路由，通過云企業網將這些路由從VBR2發布給IDC2時，由于VBR2不具備攜帶原始路由AS-PATH發布給IDC2的能力，IDC2收到這些路由將缺失VBR1或VPNGW發布給阿里云側時的原始AS-PATH，從而存在導致BGP路由環路造成路由震蕩或其它風險。

具體場景及解決方案

場景一：多IDC專線接入阿里云

若您將多個數據中心同時接入阿里云，本文以兩個數據中心同時接入阿里云為例。

如下圖所示，數據中心1和數據中心2同時接入阿里云，VBR1學到了數據中心1的AS 65000路由，通過VBR2發布給數據中心2 AS 65001，此時如果VBR2不具備傳遞原始AS-APTH的能力，數據中心2收到的BGP路由將不攜帶AS 65000，只有AS 45104。該場景下兩個數據中心之間沒有直接BGP互通，兩個數據中心通過阿里云云企業網完成互通，這樣不會存在BGP的環路，這種情況下的組網是可以將VBR加入云企業網，且不存在BGP路由環路造成的路由震蕩風險。

若數據中心1和數據中心2，存在通過阿里云作為中間轉發的角色，并且數據中心1和數據中心2之間有BGP。在該場景下VBR1學到數據中心1 AS 65000的路由，通過VBR2發布給數據中心2 AS 65001，此時如果VBR2不具備傳遞原始AS-APTH能力，數據中心2收到的BGP路由將不攜帶AS 65000，只有AS 45104，此時如果數據中心2將該路由發布給數據中心1并且導致數據中心1優選了該路由，數據中心1將撤銷發給VBR1的原始路由，從而觸發云企業網撤銷VBR2發給數據中心2的路由，數據中心2也會撤銷發個數據中心1的路由，這時數據中心1又會優選本地路由并且發布給VBR1，如此環路的路由將會持續震蕩。

因此這種場景下不建議用戶使用BGP路由，建議使用靜態路由，使用明細路由的方式來控制路徑。若用戶確認能在本地路由器上人為的控制路由傳播，譬如控制路由發布范圍、控制路由優先級等，也可以通過BGP路由的方式將VBR加入云企業網。

場景二：組網中僅使用靜態路由與IDC對接

因為物理專線接入設備功能影響的是AS-PATH的傳遞，所以您的VBR與IDC之間互聯使用的靜態路由，不使用BGP路由，這種情況下的組網可以將VBR加入云企業網，不存在BGP路由環路造成的路由震蕩風險。

場景三：單一IDC雙專線接入阿里云

具體組網方式如下圖示：

場景四：單一IDC專線通過IPsec-VPN BGP方式接入阿里云

單一IDC專線通過IPsec-VPN BGP方式接入阿里云時，如下圖場景：

當主線中斷后，流量切換到IPsec-VPN。

當物理專線恢復BGP建立的一瞬間，由于該VBR不支持傳遞AS號，因此會將IPsec-VPN從IDC收到的10.0.0.0/24路由發給物理專線對端，導致BGP路由無法通過AS防環。